Ausnutzung unsicherer Anmeldeinformationen

Militärspionage: Enttarnung von APT „Unfading Sea Haze“

APT

Die Experten der Bitdefender Labs veröffentlichen detaillierte Untersuchungen eines neuen APT (Advanced Persistent Threat) mit dem Namen Unfading Sea Haze.

Die Analyse legt nahe, dass die Gruppe hinter Unfading Sea Haze mit chinesischen Interessen verbunden ist und es auf Regierungen, Militär und andere im Südchinesischen Meer tätige Organisationen abgesehen hat.

Anzeige

Das Hauptziel von Unfading Sea Haze ist Spionage und die Ausnutzung unsicherer Anmeldeinformationen und unzureichender Patching-Praktiken auf ungeschützten Geräten und Webdiensten. Diese nutzt die Gruppe, um sehr gezielte Angriffe auf für sie interessante Organisationen zu starten. Hierfür kommt eine maßgeschneiderte Malware zum Einsatz sowie ausgeklügelte Techniken wie DLL-Sideloading, Fileless-Angriffe und ein modifiziertes Gh0st-RAT-Framework. So nistet sich die Gruppe unbemerkt in Systemen ein und bewegt sich anschließend lateral. Dabei geht die Gruppe äußerst professionell vor – und hatte es bis zur Enthüllung durch die Bitdefender Labs geschafft, seit 2018 unentdeckt zu bleiben.

Die Experten weisen in dieser Region tätige Organisationen darauf hin, wachsam zu sein und die in dem von Bitdefender Labs zusammengestellten Report aufgelisteten IOCs zu beachten, um sich vor der Gruppe zu schützen.

Bild 2 Unfading Sea Haze

Abbildung: Dies ist ein cleveres Beispiel für einen dateilosen Angriff, der ein legitimes Tool ausnutzt: MSBuild.exe. Bei diesem Angriff wird ein neuer MSBuild-Prozess von einem entfernten Directory gestartet. So sucht MSBuild nach einer Projektdatei auf diesem entfernten Server. Wenn eine Projektdatei gefunden wird, führt MSBuild den darin enthaltenen Code vollständig im Speicher aus und hinterlässt keine Spuren auf dem Rechner des Opfers. (Quelle: Bitdefender)

Anzeige

(pd/ Bitdefender)

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.